Au sein d’une DSI, le process de menaces à risques, jusqu’aux mesures de sécurité est appelé MANAGEMENT DU RISQUE.

Le management du risque est un process continu, durant lequel le risque est identifié, examiné et réduit à un niveau acceptable. Ce process s’applique à tous les aspects du process opérationnel. Dans les grandes entreprises, les tâches de monitoring de process sont exécutées par un spécialiste de la sécurité SI (Expert Sécurité ou RSSI), spécialement nommé pour ce type de missions.

L’analyse de risques (Risk analysis) est une grosse partie du management du risque. Le but d’une analyse de risques est de clarifier quelles menaces peuvent toucher le processus opérationnel et d’identifier les risques associés. Les niveaux, ainsi que les mesures de sécurité adéquates, peuvent alors être déterminés.

Une analyse de risques est utilisée pour s’assurer que les mesures de sécurité sont déployées d’une manière rentable et au bon moment pour répondre de manière efficace aux menaces identifiées. Nous savons tous que la sécurité est un sujet complexe, même pour les plus expérimentés d’entre nous. Il n’est pas facile de trouver le bon équilibre entre les mesures de sécurité qui peuvent être trop restrictives et celles qui peuvent être inefficaces et inappropriées. D’énormes sommes d’argent sont dépensées à déployer des mesures de sécurité qui ne sont pas nécessaires, à cause d’une mauvaise conception, d’où l’utilité d’une analyse de risques rigoureuse et complète.

En effet, une analyse de risques aide l’entreprise à correctement identifier les risques et choisir les mesures les plus appropriées. Ceci permettra aussi, pour le management, d’éviter les dépenses inutiles.

Une analyse de risques a quatre objectifs :
– Identifier les assets et leurs valeurs
– Déterminer les menaces et les vulnérabilités
– Déterminer le risque que ces menaces se concrétisent
– Déterminer un équilibre entre les coûts d’un incident et les coûts des mesures de sécurité.

Ci-dessous un schéma représentant l’écosystème du risk management :

RiskM

 

 

Les entreprises doivent éviter les situations où, par exemple, un serveur (données incluses) vaut 10000 euros, mais les mesures de sécurité pour protéger ce serveur sont estimées à 150 000 euros. Les contraintes réglementaires de protection de données peuvent parfois obliger les entreprises à prendre des mesures qui, dans certains cas, coûtent plus que les assets devant être protégés. Il n’est ceci dit pas facile de déterminer la valeur des données, par exemple, imaginez les répercussions que peuvent avoir des incidents sécurité sur la réputation d’une entreprise.

Analyse de risques, quels types ?

Il existe 2 types d’analyses de risques : qualitative et quantitative

Analyse de risques quantitative :
L’analyse de risques quantitative permet de calculer, en se basant sur l’impact du risque, le niveau de perte financière ainsi que la probabilité qu’une menace se concrétise en incident. La valeur de chaque élément du process opérationnel est déterminée, ces valeurs peuvent contenir les coûtsd des mesures de sécurité ainsi que la valeur de l’élément (Building, logiciels, matériels, business, etc..). Avec ceci, une image claire du risque financier est estimée. Cette analyse aide aussi à déterminer quel risque résiduel peut être acceptable. Le coût des mesures de sécurité ne doit pas excéder le coût de l’asset.

En pratique une analyse quantitative exhaustive est quasiment impossible à réaliser. Cette dernière doit assigner une valeur à tous les aspects d’un asset, ce qui n’est pas toujours possible.

Analyse de risques qualitative :
L’analyse de risques qualitative est basée sur des scénarios et situations. Durant cette approche, les chances qu’une menace se concrétise sont basées sur une analyse instinctive. Cette analyse examine le process opérationnel qui peut être touché par la menace et les mesures de sécurité entreprises. Tout ceci mène à une vue subjective sur l’éventualité de la menace. Les mesures sont prises pour minimiser le risque, et le meilleur résultat est atteint en menant une analyse sous forme de sessions en groupes afin d’éviter qu’une seule personne ou département ne domine l’analyse.

Les analyses qualitatives et quantitatives ont leurs avantages et inconvénients. Le management, accompagné de spécialistes, détermine quelle méthode doit être appliquée et dans quelle situation.

Quid des mesures de sécurité entreprises ? [Lien vers l’article suivant : Les mesures de sécurité après une analyse de risques ?]